Segurança da senha do disco rígido do BIOS?

Eu tenho um Dell Latitude E6400 e gostaria de saber como é segura a configuração de uma senha de disco rígido do BIOS? Isso aplica alguma forma de criptografia ao conteúdo da unidade ou é apenas uma simples trava no acesso à unidade? Ou seja, se o notebook foi perdido ou roubado, os dados podem ser acessados ​​por alguém com um pouco de conhecimento?

As senhas do BIOS são bloqueios simples. Se você não fornecer a senha, o BIOS simplesmente para e não continua o processo de inicialização.

Há duas maneiras de contornar esse bloqueio simples:

1. Limpe a memória do BIOS / CMOS (geralmente requer acesso direto à placa-mãe).

2. Remova a unidade e conecte-a a outro computador (mais fácil).

Atualização : Como a resposta do Blackbeagle menciona, há uma senha de disco rígido definida como parte das especificações do ATA. Esse também é um bloqueio simples, mas é implementado na unidade, portanto, nenhuma das etapas acima irá ignorá-lo. É necessário algum conhecimento técnico (e possivelmente algum hardware adicional). Você pode estar interessado neste artigo sobre as senhas do disco rígido .

O bloqueio do BIOS é um impedimento decente em vários cenários de plotagem de filmes: alguém com conhecimento técnico limitado ou situações em que o invasor pode acessar o computador, mas não tem tempo ou liberdade suficiente para desmontá-lo. Se você está apenas tentando impedir que seu colega de trabalho ou membro da família acesse, isso funciona. No entanto, isso não é um impedimento significativo para um invasor determinado ou alguém que tenha acesso físico ilimitado.

A trava no nível ATA é um impedimento melhor, mas não é perfeita. Novamente, um invasor determinado, com tempo suficiente, obterá seus dados.

A criptografia de disco completo está disponível e fornece melhor proteção. As unidades de criptografia automática que fazem isso no hardware existem e existem várias opções de software. A criptografia de dados torna muito mais difícil para um invasor obter seus dados, mas sempre há maneiras de contornar a criptografia. (Em particular, cuidado com a análise criptográfica por tubo de chumbo .)

Com o devido respeito, há um mal-entendido entre as senhas do BIOS e as senhas do disco rígido. Outro entre senha e criptografia. Outro entre a segurança do disco rígido e o chip de segurança no mobo.

1. Os pwds do BIOS protegem apenas o processo de inicialização: se a senha não for fornecida ao BIOS durante a sequência de inicialização, a sequência de inicialização será interrompida. A senha do BIOS é armazenada no mobo. Nesta fase, o disco ainda não foi acessado. A senha do disco rígido (o nome real é ATA Security) é fornecida apenas pela unidade e não pelo BIOS. Os discos rígidos de disco rígido são armazenados apenas na unidade. No entanto, o BIOS precisa solicitar o pwd ao usuário e passá-lo para a unidade (também não é verificado pelo BIOS). O disco rígido decidirá se desbloqueará a unidade. Caso contrário, nenhum dado poderá ser lido ou gravado.

2. As senhas do disco rígido não estão relacionadas à criptografia de disco. O recurso ATA Security é apenas um mecanismo de bloqueio / desbloqueio. Os dados podem ser criptografados ou não pelo sistema, isso é transparente para o controlador do disco rígido a bordo do disco rígido. Observe que alguns discos Hitachi Travelstar são sempre criptografados, mas não são protegidos (a chave de criptografia não é liberada fora da unidade, somente a unidade sabe disso). O objetivo é embaralhar os dados e forçá-los a serem lidos apenas pelo chip HDD, mas eles são fornecidos a todos. A proteção estará disponível apenas por meio do ATA Security.

3. Senhas e credenciais em geral podem ser armazenadas em armazenamento simples (EEPROM simples) ou em armazenamento inteligente. A EEPROM nua pode ser lida e escrita. O armazenamento inteligente é oferecido por chips de microcontrolador (semelhantes aos cartões MMC), como o famoso "TPM" (no padrão do Trusted Computing Group). O TPM pode armazenar senhas ou chaves criptográficas com segurança. Eles são associados ao mobo do computador antes de serem usados, portanto, a troca do TPM entre o computador não funciona. Não é possível lê-los. Eles podem ser limpos apenas. Simplesmente disse que você fornece o pwd que deseja confirmar, o chip diz Sim ou Não, mas você não pode adivinhar qual pwd levaria a Sim. O TPM é usado pelo novo EFI BIOS para garantir que o processo de inicialização seja seguro, a assinatura do software e do hardware de inicialização é armazenada no TPM. Eles devem diferir no momento da inicialização,

Para a senha de inicialização do BIOS, a resposta é correta - relativamente fácil de ignorar. Normalmente curto o CMOS para baixo.

Para bloqueios de senha do disco rígido - acredito que eles normalmente tenham um pequeno chip criptográfico na placa de circuito. Quando você os ativa, a especificação ATA envia um sinal de volta ao BIOS que resulta na passagem do controle para o chip. Ele então pede a senha. Inicialmente, quando você o define, ele pega a senha, criptografa e armazena nos pratos da unidade. Posteriormente, quando a unidade é inicializada, o chip criptográfico assume o controle, consulta a senha e a verifica na cópia armazenada. Se eles corresponderem, o chip criptográfico permite inicialização adicional.

HÁ DESCRITORES DE UNIDADE. Não sei os preços, mas já os vi. Eles são conectados diretamente à unidade e podem descriptografar esse tipo de proteção. Pode ser possível trocar as placas de circuito, mas isso não funcionaria se o fabricante da unidade fosse inteligente o suficiente para mover o chip criptográfico dentro da caixa ao lado dos pratos.

A senha do disco rígido não parece segura. Se eu alterar a configuração do BIOS Segurança> Ignorar senha> Ignorar reinicialização, sair do BIOS, inicializar e, quando houver uma consulta por senha, pressione Ctrl-Alt-Del para reiniciar, a senha não será solicitada e eu posso ler a unidade.